Cómo migrar certificados al Administrador de certificados

En esta página, se describen los pasos para migrar uno o más certificados al Administrador de certificados. Abarca las siguientes situaciones:

  • Migra certificados de terceros al Administrador de certificados.
  • Migra los certificados de Cloud Load Balancing al Administrador de certificados. Para ver más para obtener más información sobre los certificados de Cloud Load Balancing, consulta Descripción general de los certificados SSL en la documentación de Cloud Load Balancing.

En ambos casos, no se produce ningún tiempo de inactividad, siempre y cuando no se produzcan errores durante la configuración.

Para obtener más información sobre las entidades del Administrador de certificados mencionadas en esta página, consulta Cómo funciona el Administrador de certificados.

Migra certificados de terceros al Administrador de certificados

En esta sección, se describe cómo migrar uno o más certificados que entrega un servicio de terceros al Administrador de certificados.

Antes de comenzar, debes seleccionar y configurar un balanceador de cargas compatible. El Administrador de certificados te permite adquirir y administrar la capa de transporte Certificados de seguridad (TLS) para usar con los siguientes recursos del balanceador de cargas:

  • Proxies HTTPS de destino que usan los balanceadores de cargas de aplicaciones:

    • Balanceador de cargas de aplicaciones externo global
    • Balanceador de cargas de aplicaciones clásico
    • Balanceador de cargas de aplicaciones externo regional
    • Balanceador de cargas de aplicaciones interno regional
    • Balanceador de cargas de aplicaciones interno entre regiones

  • Proxies SSL de destino que usan los balanceadores de cargas de red del proxy:

    • Balanceador de cargas de red del proxy externo global
    • Balanceador de cargas de red del proxy clásico

Completa los siguientes pasos para cada certificado que quieras migrar:

  1. Implementa el certificado de destino con la autorización de DNS. como se describe en Implementa un certificado administrado por Google con autorización de DNS (instructivo). pero no incluye los pasos de limpieza. Usa un solo mapa de certificados para todos los certificados que migres a tu balanceador de cargas.

  2. En cada certificado que implementaste en el paso anterior, prueba la conectividad a cada dominio que abarca el certificado en la dirección IP de tu balanceador de cargas con el comando siguiente:

    openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443

    Reemplaza lo siguiente:

    • DOMAIN_NAME: Es el nombre del dominio de destino.
    • IP_ADDRESS: Es la dirección IP del balanceador de cargas.

    Para obtener más información sobre cómo probar la conectividad, consulta Cómo realizar pruebas con OpenSSL.

  3. Completa los pasos para cambiar el tráfico de tu servicio de terceros a Cloud Load Balancing en Actualiza los registros AAAA y A del DNS para que apunten a la dirección IP del balanceador de cargas.

Migra los certificados de Cloud Load Balancing al Administrador de certificados

En esta sección, se describe cómo migrar uno o más Cloud Load Balancing certificados en el Administrador de certificados.

Identifica los certificados que se migrarán

Completa los siguientes pasos para identificar los certificados que deseas migrar:

  1. En el balanceador de cargas de destino, identifica el nombre del proxy de destino.

  2. Identifica los certificados que deseas migrar con el siguiente comando para obtener información sobre el proxy de destino, incluidos los certificados adjuntos:

    gcloud compute target-https-proxies describe TARGET_PROXY_NAME

    Reemplaza TARGET_PROXY_NAME por el nombre del proxy de destino.

    El resultado es similar a este:

    creationTimestamp: '2021-10-06T04:05:07.520-07:00'
fingerprint: c9Txdx6AfcM=
id: '365692570234384780'
kind: compute#targetHttpsProxy
name: my-proxy
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy
sslCertificates:
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate
urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map

    Para obtener más detalles, consulta Obtén información sobre un proxy de destino.

Crea los certificados en el Administrador de certificados

Crea los certificados seleccionados en el Administrador de certificados de la siguiente manera:

Antes de continuar con el siguiente paso, espera hasta que el estado de cada certificado cambie a ACTIVE, como se describe en Verifica que el certificado esté activo. La emisión de cada certificado puede demorar varias horas y su estado cambia a ACTIVE.

Crea el mapa de certificados

Si quieres implementar el certificado en un balanceador de cargas de aplicaciones externo global o en un balanceador de cargas de aplicaciones clásico, crea un mapa de certificados siguiendo los pasos que se indican en Crea un mapa de certificados.

No necesitas un mapa de certificados para implementar el certificado en un balanceador de cargas de aplicaciones externo regional o en un balanceador de cargas de aplicaciones interno regional.

Crea las entradas del mapa de certificados

Para implementar el certificado en un balanceador de cargas de aplicaciones externo global o en un balanceador de cargas de aplicaciones clásico, crea una entrada de mapa de certificados. No necesitas una entrada de mapa de certificados para implementar un certificado en un balanceador de cargas de aplicaciones externo regional o en un balanceador de cargas de aplicaciones interno regional.

Crea entradas de mapa de certificados para cada certificado que quieras migrar y hacer referencia a esos certificados de la siguiente manera:

  1. Obtén los detalles del certificado con el siguiente comando:

    gcloud compute ssl-certificates --project=my-project describe CERTIFICATE_NAME

    Reemplaza CERTIFICATE_NAME por el nombre del certificado de destino.

    El resultado es similar a este:

       -----BEGIN CERTIFICATE-----
   MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX
   MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE
   CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx
   OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT
   GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx
   MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63
   ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS
   iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k
   KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ
   DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk
   j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5
   cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW
   CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499
   iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei
   Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap
   sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b
   9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP
   BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf
   BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw
   JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH
   MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al
   oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy
   MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF
   AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9
   NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9
   WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw
   9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy
   +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi
   d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8=
   -----END CERTIFICATE-----
   creationTimestamp: '2021-05-06T04:39:21.736-07:00'
   expireTime: '2022-06-07T01:10:34.000-07:00'
   id: '6422259403966690822'
   kind: compute#sslCertificate
   managed:
      domainStatus:
      a.my-domain1.example.com: ACTIVE
      b.my-domain2.example.com: ACTIVE
      domains:
      - a.my-domain1.example.com
      - b.my-domain2.example.com
      status: ACTIVE
   name: my-certificate
   selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate
   subjectAlternativeNames:
   - a. my-domain1.example.com
   - b. my-domain2.example.com
   type: MANAGED

  2. Para cada dominio que aparezca en el campo subjectAlternativeNames, crea una entrada de mapa de certificados que abarque ese dominio. completando los pasos que se indican en Crea una entrada de mapa de certificados. Si más de un certificado abarca un solo dominio, solo debes crear una entrada de mapa de certificados y usar cualquier certificado válido que cubra ese dominio.

  3. Opcional: Crea una entrada del mapa de certificados principal que haga referencia al certificado que corresponda a la primera certificado de la lista de certificados que se adjuntaron originalmente al proxy como se describe en Crea una entrada de mapa de certificados principal.

  4. Usa el siguiente comando para verificar que cada entrada del mapa de certificados que creaste esté activa:

    gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

    Reemplaza lo siguiente:

    • CERTIFICATE_MAP_ENTRY_NAME: Es el nombre del destino. entrada del mapa de certificados
    • CERTIFICATE_MAP_NAME: Es el nombre del certificado al que se asignará el certificado. esta entrada del mapa de certificados adjunta

    El resultado es similar a este:

       createTime: '2021-09-06T10:01:56.229472109Z'
   name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry
   state: ACTIVE
   updateTime: '2021-09-06T10:01:58.277031787Z'

Prueba tu configuración en un balanceador de cargas nuevo (opcional)

Para minimizar el tiempo de inactividad, te recomendamos que pruebes tus mapas de certificados recién configurados en un balanceador de cargas nuevo que no entrega tráfico de producción. Esto te permite detectar y resolver cualquier error antes proceder con la migración en tu entorno de producción.

Prueba tu configuración de la siguiente manera:

  1. Crea un balanceador de cargas nuevo con un proxy de destino nuevo, como se describe en Configura un balanceador de cargas de aplicaciones externo.

  2. Si utilizas un balanceador de cargas de aplicaciones externo, adjunta el mapa de certificados que deseas probar al proxy de destino del nuevo balanceador de cargas como se describe en Adjunta el mapa de certificados al proxy de destino.

    Si usas un balanceador de cargas de aplicaciones externo regional o un balanceador de cargas de aplicaciones interno regional, conecta el certificado al proxy de destino como se describe en Cómo implementar un certificado autoadministrado regional.

  3. Para cada dominio de destino incluido en tu migración, prueba la conectividad al dominio en la dirección IP del balanceador de cargas nuevo con el siguiente comando:

    openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443

    Reemplaza lo siguiente:

    • DOMAIN_NAME: Es el nombre del dominio de destino.
    • IP_ADDRESS: Es la dirección IP de tu nuevo balanceador de cargas.

    Si necesitas más información para probar la conectividad, consulta Cómo realizar pruebas con OpenSSL.

Cómo limpiar el entorno de pruebas

Limpia el entorno de prueba que creaste en los pasos anteriores de la siguiente manera:

  1. Desconecta el mapa de certificados del proxy:

    gcloud compute target-https-proxies update PROXY_NAME \
   --clear-certificate-map

    Reemplaza PROXY_NAME por el nombre del proxy de destino.

  2. Borra el balanceador de cargas de prueba como se describe en Borra el balanceador de cargas.

No borres los certificados, el mapa de certificados ni las entradas de este mapa que creaste en los pasos anteriores.

Aplica el nuevo mapa de certificados al balanceador de cargas de destino

Después de probar la nueva configuración del certificado y confirmar que es válida, aplica el nuevo mapa de certificados al balanceador de cargas de destino de la siguiente manera.

  1. Si usas un balanceador de cargas de aplicaciones externo, conecta el nuevo mapa de certificados al proxy de destino adecuado, como se describe en Cómo conectar el mapa de certificados al proxy de destino.

    Si usas un balanceador de cargas de aplicaciones externo regional o un balanceador de cargas de aplicaciones interno regional, adjunta el certificado al proxy de destino como se describe en Implementa un certificado autoadministrado regional.

  2. Espera hasta que se aplique el cambio de configuración y el balanceador de cargas comience a entregar el certificado nuevo. Por lo general, este proceso tarda unos minutos, pero puede demorar hasta 30 minutos.

  3. Si observas algún problema con tu tráfico, desconecta el nuevo mapa de certificados del proxy de destino. Para ello, haz lo siguiente: completando los pasos que se indican en Desvincula un mapa de certificados de un proxy. Esto revierte tu del balanceador de cargas a su configuración original. De lo contrario, la configuración nueva estará completa.

    Si usas un balanceador de cargas de aplicaciones externo regional o el balanceador de cargas de aplicaciones interno regional, adjunta los certificados clásicos adjuntos anteriormente para revertir el cambio.

¿Qué sigue?